W 2022 r. w Europie rozwiązał się worek z karami za naruszenia ochrony danych. Konstytucja dla ochrony danych, czyli rozporządzenie ogólne o ochronie danych osobowych (RODO), działa.

Tylko za ubiegły rok sumaryczna wysokość wszystkich nałożonych kar przekroczyła 2 mld euro, z czego 1,3 mld w Irlandii. Polska pod tym względem znajduje się w środku rankingu z ponad 3,3 mln euro nałożonych grzywien. W całej Unii Europejskiej liczba zgłoszeń naruszenia ochrony danych przekroczyła 100 tys. W Polsce – 13 tys.
Wiele wskazuje na to, że wysokość kar wzrośnie, podobnie jak dotkliwość ich egzekwowania. Zaostrzeniem bardzo zainteresowana jest Komisja Europejska. Niektórzy politycy uznali działanie systemu ochrony danych za punkt honoru, choćby nasz czołowy reprezentant w UE, europejski inspektor ochrony danych Wojciech Wiewiórowski. W KE i okolicach krążą pogłoski o nieuniknionym zaostrzeniu egzekwowania przepisów poprzez wdrożenie systemu umożliwiającego duże śledztwa i nakładanie naprawdę wysokich grzywien na dużych graczy. Być może jakimś kierunkiem będzie konsolidacja i centralizacja systemu na poziomie Unii, właśnie w odniesieniu do dużych firm, tak jak ma to miejsce w unijnym akcie o usługach cyfrowych. Obecnie jest tak, że zgodnie z RODO firmy są nadzorowane przez urząd ochrony danych kraju, gdzie mają one główne siedziby na UE. W przypadku big techów często jest to Irlandia. Na opieszałość irlandzkiego urzędu ochrony danych narzekają chyba wszyscy. Może poza Irlandią i dużymi amerykańskimi firmami. Nie zdziwiłaby chęć zabrania Irlandczykom tej władzy i scentralizowania systemu w Brukseli.
Tymczasem kary spływają chociażby z Francji. Paryż jest tu niezwykle aktywny. Przykłady? W styczniu 2022 r. francuski urząd nałożył kary na Google’a (150 mln euro) i Facebooka (60 mln euro). W skrócie chodziło o to, że oferując przycisk wyrażający zgodę na akceptację plików cookie (monitorujące aktywność użytkownika), nie umożliwiały równoważnego rozwiązania umożliwiającego internaucie łatwą odmowę. To prosta metoda weryfikacji, czy spełnia się wymogi ochrony danych. Zgoda i niezgoda powinny być skomplikowane w podobnym stopniu. Na tym wyłożył się również TikTok, który 12 stycznia otrzymał od Francuzów grzywnę w wysokości 5 mln euro. Powód jak poprzednio. Użytkownicy „nie mogli odrzucić plików cookie tak łatwo, jak je zaakceptować”. W sam raz na święta, bo 22 grudnia 2022 r. grzywnę 60 mln euro (i 60 tys. za każdy dzień zwłoki we wprowadzeniu poprawki do stanu akceptowalnego) otrzymał Microsoft za to, jak wyszukiwarka Bing przetwarza pliki cookies.
Metoda badania zgodności ma źródło w badaniach akademickich, a francuski urząd ochrony danych jest otwarty na kontakty z ekspertami. To tym łatwiejsze, że we Francji prowadzone są realne badania w dziedzinie ochrony danych osobowych i prywatności. Znam temat z autopsji: mam doktorat z tamtejszego Narodowego Instytutu Badań nad Nauką i Technologią Cyfrową (INRIA), a to właśnie ludzie stamtąd współpracują z francuskim urzędem ochrony danych. Badania oczywiście nie dotyczą jedynie kwestii czysto prawnych, ale raczej obszarów, w których prawo krzyżuje się z technologią. W polskiej akademii nigdy nie było zainteresowania tego typu tematyką, a co za tym idzie – trudno znaleźć ekspertów reprezentujących odpowiednio wysoki poziom. Zatem nawet gdyby założyć, że polski Urząd Ochrony Danych Osobowych (UODO) zechciałby się otworzyć na zewnętrznych ekspertów, nie jest jasne, gdzie miałby ich szukać.
Uważny czytelnik zauważy, że wcześniej wyjaśniłem, iż kary nakłada urząd w kraju, gdzie siedzibę ma dana firma, a w przypadku wielu amerykańskich spółek technologicznych jest nim Irlandia. W jaki więc sposób kary na te firmy nakłada Francja? Dzieje się tak z uwagi na to, że tak naprawdę mamy dwa podstawowe źródła prawa ochrony danych osobowych. Jednym jest RODO, a drugim – dyrektywa dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, zwana dyrektywą ePrivacy. W uproszczeniu zakazuje ona wprowadzania modyfikacji do urządzeń użytkowników bez ich wiedzy lub zgody. Obejmuje to ustawianie śledzących plików cookie. Sprawa wygląda tak, że RODO może egzekwować tylko „wiodący urząd” ochrony danych, ale ePrivacy – każde państwo indywidualnie, wedle uznania. Z tego uprawnienia korzysta Paryż, traktując prywatność Francuzów jako ważne dobro do ochrony.
Gdyby polskie urzędy uznały, że Polacy też mają prawo do ochrony prywatności, teoretycznie z tego samego uprawnienia mógłby korzystać i polski regulator. Ale jakoś tak wyszło, że tego nie robi. Tam, gdzie we Francji widzi się ryzyko, problem, naruszenie – w Polsce już nie. Głównie dlatego, że Polska jest krajem, gdzie w sferze prawa ochrony danych panuje niebywały wręcz bałagan, być może nawet celowy. Stworzono konstrukcję, gdzie RODO egzekwuje jeden urząd (UODO), zaś ePrivacy – zupełnie inny w postaci Urzędu Komunikacji Elektronicznej. Jakoś tak wyszło, że o aktywności UKE nie słyszymy. Ten paraliż został wprowadzony przez polityków prawie 20 lat temu za sprawą ustawy – Prawo telekomunikacyjne. Jej art. 173 zezwala na ustawianie cookies za poinformowaniem użytkownika, a taką zgodą są… ustawienia przeglądarki (art. 173 ust. 2). Tyle że taka zgoda sama w sobie nie spełnia dzisiejszych wymogów z RODO. Na to się już nie zwraca uwagi, choć nawet rzeczona ustawa w art. 174 wprowadza wymóg zgodności przepisów z ochroną danych osobowych. I tak Europejska Rada Ochrony Danych może sobie wystosowywać zalecenia zgody na cookies, ale w niej zasiada UODO, nie UKE.
Pikanterii sprawie dodaje to, że rozwiązania te przyjęto w 2004 r., gdy premierem był Marek Belka, a nad ustawą pracowano, gdy był nim Leszek Miller. Ustawę podtrzymano w trakcie wszystkich następnych rządów za wiedzą i zgodą wszystkich tych opcji. To już prawie 20 lat osobliwej ponadpartyjnej zgody (z uczciwości dodam, że z wyłączeniem Partii Razem i Konfederacji, jeśli to komuś poprawi humor…), która gwarantuje paraliż znacznej części zasad ochrony danych i prywatności w Polsce. Nad Wisłą pokutuje brak zainteresowania polityków ochroną danych i prywatnością Polaków, by wspomnieć tylko o ważnych politykach lewicy, którzy już w 2019 r. wzywali premiera do zawieszenia stosowania w Polsce prawa europejskiego (w postaci RODO) bez żadnego trybu, wypowiadając się dość jednoznacznie przeciwko zasadom ochrony danych osobowych. Chodzi tu nie o byle kogo, bo o wiceprezesa Nowej Lewicy Roberta Biedronia, ale także Krzysztofa Śmiszka. To może zaskakiwać, ale zakreśla swoistą odrębność cywilizacyjną; w UE partie lewicowe raczej wspierają ochronę prywatności. Być może jest to pozostałość po czasach komunizmu, gdzie standardy były odmienne. Prywatność i ochrona danych to temat rozwijany na Zachodzie od lat 70. Polska była wtedy w sowieckim systemie za żelazną kurtyną i faktycznie nie brała w tym udziału.
Wkrótce Sejm zdecyduje o obsadzie stanowiska prezesa UODO na kolejną kadencję. Trzeba przyznać, że zasługą obecnego rządu jest to, że prezesem nie musi być – i obecnie nie jest – prawnik (choć wiedza prawnicza z dziedziny jest wskazana). Prywatność i ochrona danych to obszar szeroki i obejmuje technologie, informatykę, a nawet zarządzanie. Stąd byłoby niedorzeczne wymagać, by na takim stanowisku musiał koniecznie zasiadać prawnik. Choć ważna jest stabilność i kompetencje kadry samego UODO, to kwestie osobowe prezesa pozostają jednak kluczowe. Chodzi o wybór niezależnego i nieusuwalnego szefa regulatora. Decyzja co do obsady tego stanowiska wpłynie na to, jakie miejsce zechce zająć Polska w świecie nowoczesnych technologii. Ochrona danych i prywatności to nie tylko problem handlu oraz podstawowych wolności. Nie chodzi nawet o to, że jako Polacy i Europejczycy mamy konstytucyjne prawo do prywatności i ochrony danych osobowych. To wyzwanie cywilizacji i wybór ten ugruntuje aspiracje kraju na następne cztery lata. Na poziomie państwa konieczna jest jednak racjonalizacja prawa ochrony danych osobowych i zakończenia wprowadzonego dawniej paraliżu. Odpowiedzialność za to musi być w gestii jednej instytucji – UODO, nie UKE. ©℗
*Dr Łukasz Olejnik niezależny badacz i konsultant cyberbezpieczeństwa, fellow Genewskiej Akademii Międzynarodowego Prawa Humanitarnego i Praw Człowieka, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie, autor książki „Filozofa Cyberbezpieczeństwa”